Microsoft Defender XDR 자동 공격 중단이 트리거되면 프로세스 도중 및 이후에 손상된 자산의 위험 및 포함 상태 대한 세부 정보를 볼 수 있습니다. 인시던트 페이지에서 세부 정보를 볼 수 있습니다. 이 페이지에서는 공격에 대한 전체 세부 정보 및 관련 자산의 최신 상태 제공합니다.
인시던트 그래프 검토
Microsoft Defender XDR 자동 공격 중단은 인시던트 보기에 기본 제공되어 있습니다. 인시던트 그래프를 검토하여 전체 공격 스토리를 얻고 공격 중단 영향 및 상태 평가합니다.
인시던트 페이지에는 다음 정보가 포함됩니다.
- 중단된 인시던트에는 '공격 중단'에 대한 태그와 식별된 특정 위협 유형(예: 랜섬웨어)이 포함됩니다. 인시던트 메일 알림 구독하는 경우 이러한 태그도 이메일에 표시됩니다.
- 인시던트가 중단되었음을 나타내는 인시던트 제목 아래에 강조 표시된 알림입니다.
- 일시 중단된 사용자 및 포함된 디바이스는 상태 나타내는 레이블과 함께 표시됩니다.
사용자 계정 또는 디바이스를 포함에서 해제하려면 포함된 자산을 선택하고 디바이스에 대한 포함에서 릴리스 를 선택하거나 사용자 계정에 대해 사용자를 사용하도록 설정합니다 .
알림 센터에서 작업 추적
알림 센터(https://security.microsoft.com/action-center)는 디바이스, 전자 메일 & 공동 작업 콘텐츠 및 ID에 대한 수정 및 응답 작업을 함께 제공합니다. 나열된 작업에는 자동으로 또는 수동으로 수행된 수정 작업이 포함됩니다. 알림 센터에서 자동 공격 중단 작업을 볼 수 있습니다.
포함된 자산을 해제할 수 있습니다(예: 차단된 사용자 계정을 사용하도록 설정하거나 작업 세부 정보 창에서 디바이스를 포함에서 해제). 위험을 완화하고 인시던트 조사를 완료한 후 포함된 자산을 해제할 수 있습니다. 알림 센터에 대한 자세한 내용은 알림 센터를 참조하세요.
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.
고급 헌팅에서 작업 추적
고급 헌팅에서 특정 쿼리를 사용하여 디바이스 또는 사용자 포함을 추적하고 사용자 계정 작업을 사용하지 않도록 설정할 수 있습니다.
고급 헌팅의 포함 관련 이벤트
엔드포인트용 Microsoft Defender 포함하면 포함된 엔터티의 통신을 차단하여 추가 위협 행위자 활동을 방지할 수 있습니다. 고급 헌팅에서 DeviceEvents 테이블 은 초기 포함 작업 자체가 아니라 포함으로 인한 작업을 차단합니다.
디바이스 파생 블록 작업 - 이러한 이벤트는 디바이스가 포함되어 있기 때문에 차단된 활동(예: 네트워크 통신)을 나타냅니다.
DeviceEvents | where ActionType contains "ContainedDevice"사용자 파생 블록 작업 - 이러한 이벤트는 사용자가 포함되었기 때문에 차단된 활동(예: 로그인 또는 리소스 액세스 시도)을 나타냅니다.
DeviceEvents | where ActionType contains "ContainedUser"
사용자 계정 작업 사용 안 함 헌팅
공격 중단은 id에 대한 Microsoft Defender 수정 작업 기능을 사용하여 계정을 사용하지 않도록 설정합니다. 기본적으로 id에 대한 Microsoft Defender 모든 수정 작업에 도메인 컨트롤러의 LocalSystem 계정을 사용합니다.
다음 쿼리는 도메인 컨트롤러가 사용자 계정을 사용하지 않도록 설정한 이벤트를 찾습니다. 또한 이 쿼리는 Microsoft Defender XDR 수동으로 계정 사용 안 함을 트리거하여 자동 공격 중단으로 비활성화된 사용자 계정을 반환합니다.
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
이전 쿼리는 ID - 공격 중단 쿼리에 대한 Microsoft Defender 조정되었습니다.